web-dev-qa-db-fra.com

Comment contourner les problèmes de configuration de certificat dans les services Bureau à distance?

Je configure une batterie de services Bureau à distance et je rencontre des problèmes pour configurer les certificats à utiliser. Une démonstration du problème que je vois se trouve à l'étape # 4.

À ce stade, je suis convaincu qu'il y a des problèmes avec l'interface utilisateur et je cherche des moyens de les contourner. Existe-t-il un moyen de configurer les certificats dans les services Bureau à distance afin que les paramètres soient conservés et se reflètent dans l'interface graphique? Sinon, existe-t-il un moyen pour moi de vérifier que les paramètres sont corrects?

Étape # 1 - Créez le certificat à utiliser.

J'ai configuré un certificat à utiliser avec RD Web Access. Le certificat est stocké avec dans les certificats MMC sur mon courtier de connexion Bureau à distance, et je configure la batterie de serveurs à partir de cet ordinateur. certificate

J'ai trouvé en laissant RD Web Access générer son propre certificat que les propriétés suivantes sont requises:

  • Utilisation améliorée des clés
    • Authentification du serveur
    • Authentification client
      • Cela peut ne pas être requis, mais le certificat auto-signé l'inclut.
  • Utilisation des clés
    • Signature numérique
    • Accord clé
  • Autre nom du sujet
    • Nom DNS = domaine.com

Détour sur la génération de certificats auto-signés

Comme détour rapide, j'ai pu contourner un problème de création de certificats auto-signés à l'aide de PowerShell. La documentation de l'applet de commande New-RDCertificate donne l'exemple suivant:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

La saisie de ceci dans le shell entraînera un message d'erreur affirmant qu'une fonction, Get-Server ne peut être trouvé. Avant d'utiliser New-RDCertificate, vous devez importer le module RemoteDesktop avec Import-Module RemoteDesktop.

Étape # 2 - Observez le comportement out-of-box

La première fois que vous visitez la boîte de dialogue Propriétés de déploiement en accédant au Gestionnaire de serveur -> Services Bureau à distance -> Collections et en sélectionnant "Modifier les propriétés de déploiement" dans la liste déroulante "TÂCHES" du groupe "COLLECTIONS", vous verrez l'écran suivant : enter image description here

Cette fenêtre est trompeuse car le champ level est répertorié comme "Non configuré". Si je comprends bien, les trois services de rôle utilisent un certificat auto-signé. Pour le rôle RD Web Access, cela peut être vérifié en visitant le site Web: certificate error

Le certificat utilisé apparaît également dans la console MMC Certificats: certificates MMC showing the RD Web Access certificate

Étape # 3 - Attribuer un nouveau certificat

La boîte de dialogue Propriétés de déploiement me permettra de sélectionner mon certificat existant. Le certificat doit être placé dans les ordinateurs locaux Certificats MMC dans le magasin de certificats "Personnel". La clé privée devra être exportable et vous devrez fournir le mot de passe. J'ai exporté temporairement mon certificat dans un fichier nommé temp.pfx avec un mot de passe, puis importé dans les services Bureau à distance à partir de là.

Une fois cela fait, l'interface graphique indiquera qu'elle est prête à accepter la nouvelle configuration. ready to accept certificate

Une fois que j'ai cliqué sur le bouton "Appliquer", l'interface graphique indique le succès. enter image description here

Cela peut être vérifié en visitant le site Web RD Web Access une deuxième fois. Il n'y a pas d'erreur de certificat. enter image description here

Étape # 4 - L'interface graphique ne parvient pas à maintenir son état

Si l'interface graphique est fermée et rouverte, tous ces paramètres semblent être perdus. settings are lost

En fait, le certificat que j'ai configuré est toujours utilisé. Je peux continuer à accéder au site RD Web Access sans aucune erreur de certificat.

Curieusement, si j'utilise le bouton "Créer un nouveau certificat ..." pour générer un certificat auto-signé, cette fenêtre passera à un niveau "Non approuvé". Ce paramètre sera ensuite conservé lors de l'ouverture et de la fermeture de la boîte de dialogue Propriétés de déploiement.

Puis-je faire quelque chose pour que mes paramètres semblent coller? J'ai l'impression que quelque chose ne va pas lorsque l'interface graphique prétend que je n'ai pas entièrement configuré les certificats.

ssl-certificateremote-desktopcertificatewindows-server-2012remote-desktop-services
32
Michael Steele

J'ai vérifié notre ferme hier et j'ai remarqué que c'était Windows 2008 ... Le vôtre est 2012. Je suis sûr qu'il y a de grandes différences, mais j'espère que mes informations vous aideront.

Ouverture MMC -> Certificats -> Compte d'ordinateur Je vois 2 certificats dans le dossier "personnel/Certificats":

  • Certificat auto-signé (même émetteur que sujet)
  • Certificat délivré par notre autorité de certification de domaine

L'auto-signé affiche une erreur dans les détails, votre certificat a-t-il la même erreur? Error

Pour résoudre cette erreur, copiez et collez simplement le certificat du sous-dossier "personal/Certificates" dans "Trusted Root Certification Authorities/Certificates". Avec cette étape, le même certificat ne donne aucune erreur. OK Certificate

Après cela, il n'y a que deux endroits où vous configurez le certificat (dans RDS Windows 2008) que j'ai trouvé.

Notre gestionnaire RemoteApp montre: Main

Les paramètres de signature numérique: DSS

Et dans la 'Configuration de l'hôte de session RD, dans les paramètres de la connexion: RDSHC

À la fin, et si je me souviens bien, nous l'avons résolu en vérifiant toutes les options, l'observateur d'événements, en s'assurant qu'aucune erreur de certificat, en remplissant certains groupes locaux, en leur donnant accès par la politique de sécurité ...

Bonne chance.

---- Mise à jour ----

N'oubliez pas d'importer dans le profil utilisateur, l'autorité de certification émettrice ou le certificat (s'il est auto-signé) dans les "Autorités/certificats de certification racine de confiance" afin que le client n'obtienne aucune erreur de certificat. Ce point était important dans notre système.

2
Carlos Garcia

J'ai eu le même problème exact et j'ai trouvé le correctif. Tout dépend de la façon dont vous avez créé le modèle de certificat et demandé le certificat.
Voici le correctif:

  1. Créez un modèle de certificat à partir de la duplication du modèle d'ordinateur
  2. Modifiez le nouveau certificat et ces deux mods importants 2a. Autoriser l'exportation de la clé privée 2b. Dans l'onglet Nom du sujet, sélectionnez le bouton radio "Fournir dans la demande"
  3. Publier le nouveau modèle
  4. Créez une nouvelle demande et sélectionnez le nouveau modèle
  5. Ajoutez le nom commun et le DNS pour le RDWeb. (J'ai ajouté tous les serveurs RD Farm)

Exemple:

CN = rdweb.domain.local

CN = rdcb.domain.local

CN = rdsh1.domain.local

CN = rdsh2.domain.local

CN = rdsh3.domain.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. Ajoutez rdweb.domain.local au nom convivial, puis générez le certificat
  2. Exportez le certificat avec Private
  3. Importez dans la console de déploiement RD.

Vous faites tout cela et le niveau sera approuvé et le statut OK

2
Todd Ouimet